Green pass falsi, anche in Italia prime evidenze di sistemi compromessi - Agenda Digitale

il problema

Green pass falsi, anche in Italia prime evidenze di sistemi compromessi

Prime possibili evidenze che anche i sistemi italiani di creazione green pass sono stati compromessi. Su un noto forum sono stati pubblicati screen shot di una piattaforma di emissione green pass a uso medico. Fonti tecniche governative confermano che sono account validi, ma ci sono ancora molti punti oscuri

31 Ott 2021
Federico Fuga

ingegnere elettronico, coordinatore della commissione ICT dell’Ordine degli Ingegneri della provincia di Verona

Alessandro Longo

Direttore agendadigitale.eu

Primi possibili evidenze che anche i sistemi italiani di creazione green pass sono stati compromessi.

Su un noto forum sono stati pubblicati screen shot di una piattaforma di emissione green pass a uso medico, indirizzo https://sistemats4.sanita.finanze.it/

Ts sta per tessera sanitaria, del ministero economia e finanze.

Compromessi sistemi italiani di generazione green pass

Fonti tecniche governative ci confermano che sono screenshot account validi di generazione green pass.

Si tratta dello stesso sistema web app che ha portato alla creazione di green pass falsi, ma validi a una verifica, dalla Francia, Germania e Macedonia.

WHITEPAPER
Rete, sicurezza e digital workplace: un nuovo modello per il lavoro agile
Networking
Network Security

Due le ipotesi più probabili.

  • O gli screen shot sono stati fatti da chi ha accesso a quella postazione.
  • Oppure c’è stato un accesso abusivo alle applicazioni di DGC (digital green certificate) issuance (ossia “emissione), sfruttandone una vulnerabilità, che alcuni tecnici hanno comunque trovato in merito almeno a quelle macedoni.

Dopo la issuance del certificato, il sistema interroga un server di firma centralizzato, del pass. A essere compromesso non sarebbe quindi quest’ultimo (meno male) ma alcuni dei dispositivi o degli account di autenticazione/generazione dei pass.

Uno degli screen mostra i dati personali di un medico: classe 1941, non si collega da cinque anni; forse un vecchio account mai annullato.

Non ci sono evidenze che da quegli accessi italiani siano nati green pass fasulli.

Ieri è emerso un pacchetto di 64 green pass italiani validi, che potrebbero però essere stati rastrellati sui social.

Ci sono 64 green pass italiani “validi” in vendita, nuove prove di debolezza del sistema

Le contromisure

Al momento in Italia come in altri paesi stanno invalidando i certificati in questione con il sistema CRL creando blacklist, così VerificaApp non li mostrerà più come validi (o fa apparire un warning).

Il sistema green pass mostra debolezze

Ricordiamo le puntate precedenti. Dopo che è uscito un pass intestato a Hitler, la scorsa settimana, si era vociferato che i pass fossero stati generati violando le chiavi private di alcune agenzie sanitarie nazionali. Tale eventualità è parsa subito grave, ma diverse fonti governative, in particolare relative al nostro paese, si sono affrettate a rassicurare che non vi erano evidenze che i sistemi che custodivano le chiavi private necessarie per firmare i pass fossero stati violati.

Successivamente si era sparsa la notizia, stavolta verificata dai fatti, che alcuni punti di accesso al sistema di firma fossero rimasti esposti su internet, apparentemente con credenziali di autenticazione di default. Che ci siano sistemi di creazione green pass (che accedono al sistema di firma) compromessi è meno grave di una compromissione diretta del sistema di firma.

La falla è stata velocemente chiusa, e l’emergenza era rientrata, nonostante risultassero ancora alcuni dubbi sul fatto che non fosse al momento possibile, almeno senza un’indagine interna, identificare e revocare gli eventuali pass generati abusivamente.

Poche chiavi

D’altro canto l’ipotesi di avere le chiavi nazionali compromesse ha di fatto dimostrato come avere un solo paio di chiavi per firmare 30 milioni di Green Pass è un rischio enorme. Qualora esse dovessero essere compromesse veramente- rischio per ora schivato -, le istituzioni si ritroverebbero con il compito di rigenerare 30 milioni di green pass per altrettanti utenti, alcuni dei quali non avranno difficoltà ad aggiornarlo tramite AppIO, ma la maggior parte dovrà essere avvertita in qualche modo (l’SMS ha dimostrato tutti i suoi limiti) e alcuni di essi, a bassa competenza digitale, dovrà essere assistito.

Sarebbe opportuno pertanto avere un più alto numero di chiavi in modo da ripartire il rischio proporzionalmente. L’aumento della complessità di gestire un più alto numero di chiavi in altrettanti sistemi separati dovrebbe ampiamente compensare del costo in termini di conseguenze in caso di compromissione.

Adesso invece con le blacklist è possibile invalidare il singolo certificato.

Terminali vulnerabili

L’altro punto, invece, ossia la sicurezza dei terminali, è un altro punto importante. Tema rilevante per il fatto che la generazione pass validi è decentralizzata.

Sebbene in Italia non si sono avute compromissioni note, ci si dovrà domandare come gestire la possibilità che alcuni di essi possano essere violati o magari rubati. Abbiamo migliaia di centri vaccinali su tutto il territorio, cui si aggiungono eventualmente gli accessi dalle farmacie; tutti questi costituiscono una superficie di attacco enorme. Non essendo disponibili dettagli in merito c’è da augurarsi che sia possibile in qualche modo risalire al terminale da cui è partita una richiesta di firma, magari attraverso il codice univoco del certificato.

Come detto già in precedenza, il sistema del Green Pass costituisce, dal punto di vista della sicurezza, un caso abbastanza complesso. La sicurezza è infatti legata non solo alla solidità crittografica delle firme, ma anche e soprattutto sulla sicurezza delle procedure d’uso delle risorse in campo. E in un ambito variegato come quello del territorio e della contingenza in cui ci troviamo, è inevitabile che incidenti avvengano.

E’ proprio sull’incident response che, si è visto, possiamo migliorare.

WHITEPAPER
Strategie e tecniche di difesa dagli attacchi: come cambia il Network Security
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3